Ransomware: Locky wütet wieder

vaultIn der letzten Zeit ist es wieder gefühlt ruhiger um Erpressungstrojaner geworden, doch offenbar rollt derzeit wieder eine neue Welle auf uns zu. So warnt mittlerweile auch das Bundesamt für Sicherheit in der Informationstechnik vor den neuen Varianten des Schädlings. Eingeschleust wird der Schadcode demnach wieder durch E-Mail-Anhänge, im aktuellen Fall handelt es sich entweder um eine Microsoft Office- oder eine Zip-Datei, die keinesfalls geöffnet werden sollte. Um Schäden bei einem eventuellen Befall möglichst gering zu halten, sollten Nutzer regelmäßig ein Backup ihrer Daten auf einer nicht dauerhaft angeschlossenen, externen Festplatte durchführen, so das Bundesamt.

necurs-botnet01

Neben dem Bundesamt warnt auch Proofpoint vor Locky, hier soll der Schädling wieder über Botnetze verteilt werden, die in der letzten zeit dahingehend weniger aktiv warten. Proofpoint warnt vor mehreren Mails, die den Schädling mit sich bringen – im besten Fall greifen aber schon vorher Mechanismen des Anbieters, damit solche Mail nicht bei euch landet. Auch die neuen Varianten von Locky arbeiten sehr aggressiv. Auf einem befallenen Rechner werden eure Daten verschlüsselt, ein Programm bittet euch dann in deutscher oder englische Sprache zur Kasse, damit eure Daten einen Key zur Entschlüsselung bekommen. Auch Daten eingebundener Netzwerkfreigaben können infiziert werden, sofern der Infizierte die Rechte auf das Volumen hat.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

20 Kommentare

  1. Ich hatte ja bisher Glück.
    Am meisten Bammel habe ich ja um die Daten auf meiner DS. Aber da läuft gerade in der Sekunde ein Backup auf die externen Festplatten. Hoffentlich bleibe ich davon verschont. Man soll schließlich niemals nie sagen.
    Eine Plage ist das mit diesen Dingern. Ich befürchte, das wird nur leider in Zukunft trotz allem mehr, statt weniger.

  2. Ich verstehe immer noch nicht welche DAUs diese anhänge einfach so öffnen und sich wundern. Selbst mein Vater erkennt solche Emails sofort. (und der Mann ist 70)

  3. @chris
    Du kannst dir einfach nicht vorstellen was für Gründe Menschen haben warum sie diesen Mist öffnen.

  4. @chris83
    Teilweise kann man den Anwendern mittlerweile keinen Vorwurf mehr machen. Wir hatten letztens z.B. Mails von der Adresse kopierer@firmendomäne.de mit einer „PDF Datei“ als Anhang. Wir haben wirklich netzwerkfähige Multifunktionsgeräte im Einsatz welche den Anhang als Datei versenden können, nur die Absenderadresse ist eine andere. Aber mal ernsthaft, willst Du in so einem Szenario dem Mitarbeiter einen Vorwurf machen, der darauf hereinfällt?
    Oder aber Mails mit Anhängen die sich ganz explizit auf eine tatsächlich ausgeschriebene Stelle der Firma beziehen und im Anhang die „Bewerbungsunterlagen“ mitschicken. Alles schon gesehen. Die Gauner sind mittlerweile verdammt clever geworden, was ihre Tricks angeht.

  5. Na ja, im Arbeitsleben läuft bei mir auch alles über windoof, privat nutze ich nur noch Debian Systeme ein Chromebook als heavy online-gadget und ein iMac der nur für mein Hobby (Fotografie) da ist.. Bin von Natur aus skeptisch und fühle mich sehr sicher… 😉
    Wenn ich sehe, dass 50% der Smartphone-Besitzer die Google bzw. Apple Accounts nur dafür nutzen um Apps zu installieren und sonst alles lokal speichern, sich aber wundern beim Smartphone-Tausch/ Verlust, dass alles weg ist, wundert mich nichts mehr…

  6. Jemand der ein großes Netzwerk betreut kann eigentlich nur vorbeugen, indem er gewisse Strategien durchführt. Zum Beispiel Dateiüberprüfung auf Windows Server, die prüfen welche Dateien mit welchen Endungen abgelegt werden dürfen. Auch Backups, die logischerweise auf Bändern sind und nicht am Netzwerk hängen. Das ist aber eben nur ein Bruchteil einer Strategie viel wichtiger ist es auch seine Anwender zu schulen und regelmäßig warnen.

  7. Karl Kurzschluss says:

    @elknipso Das Szenario mit den Netzwerkscannern kenne ich auch. Aber das müsste ja wirklich ein toller Zufall sein, wenn a) eine Locky-Mail mit einem passenden Betreff b) zeitgleich zu einem von mir eingeleiteten Scan-Vorgang einträfe. Was passiert eigentlich, wenn man die Mail öffnet? Da ist ja keine PDF-Datei enthalten. Es müsste eine Fehlermeldung eingeblendet werden, oder?

  8. Ist irgendwie Komisch, die finden sofort raus wenn man einen MP3 runterlade und da kommt sofort die Abkassier Email. Aber bei diesen Kack-Emails kann man ja garnichts aber rein garnichts. Oh Mann schöne Alte Digitale Deutschland Welt.
    Taja wenn das schon nicht klappt dann kann alles andere auch funzen.

  9. Kleine Verständnisfrage: Muss der Schadcode nicht erst durch irgendeine ausführbare Datei (oder auch ein Script) angestoßen werden?
    Das alleinige Öffnen einer ZIP oder auch einer Office- oder PDF-Datei (falls man nicht Makros und Scripte generell erlaubt hat) sollte doch erstmal kein Problem darstellen, oder liege ich da daneben?

  10. @Karl
    Das ist zu kurz gedacht. In vielen Firmen wird auch im Team gearbeitet und dann legt mal Kollege A schnell was auf den Scanner und lässt es Kollege B direkt per Mail zukommen. Das können die meisten Multifunktionsdrucker mittlerweile, einfach per Tastendruck am Touchscreen.

  11. Der ganze Spuk mit locky wäre schnell vorbei wenn es eine Möglichkeit leichte Möglichkeit gäbe die Signatur einer ausführbaren Datei in einer lokalen Datenbank abzulegen und nur noch freigegebe Dateien ausgeführt werden dürften.
    Dann wären auch Virenscanner überflüssig.
    Auch Code der erst durch Lücken in anderer Software gestartet werden kann z. B. Flash Lücken wäre damit nicht mehr möglich.
    Sicher würde die Ei Richtung Arbeit machen aber das wäre so mir Wert.

  12. Karl Kurzschluss says:

    @elknipso Wieso sollte ich „Schnell mal“-Dateianhänge ohne jede weitere Beschreibung öffnen?

  13. @elknipso. Den einzigen Vorwurft kann man eurer IT machen. Wer Mails mit einer Firmenadresse die von einem externen Server kommen nicht abweist hat in der IT nichts zu suchen.

  14. Ich frage mich auch immer, wie dumm oder ignorant man sein muß, um auf sowas reinzufallen. Ich seh sowas als praktisch reines Layer 8-Problem, weil das eigentlich nur aufgrund der Dummheit der Anwendern funktioniert.

    1) Für das unkritisches Öffnen von Dateianhänge bei Mails mit unbekanntem Absender (was logischerweise bedeutet, dass man diese Attachments unverlangt zugesendet bekommen hat) gibts einfach keine Entschuldigung. Wer so etwas tut, ist einfach nur dämlich – und trägt mit seiner Dummheit noch dazu bei, solchen Shice zu verbreiten.

    2) Mails mit bekanntem oder plausiblem Absender hat man aus Sicherheitsgründen ebenfalls nicht einfach so zu öffnen, sondern zu speichern um dann entweder nen Virenscanner drüberlaufen zu lassen oder sie z.B. auf Virustotal zur Überprüfung hochzuladen. Oder man klärt mit einem Rückruf ab, ob Mail und Attachment legitim sind bzw. verwendet digitale Signaturen etc.

    3) Mails, die schon von vornherein suspekt sind wie z.B. angebliche Mahnungen von Firmen, die man gar nicht kennt: Papierkorb und dann Papierkorb leeren. Denn:
    3.a) Hat man z.B. gar keine Kreditkarte, dann kann einem eine Mail dazu auch vollkommen schnurz sein -> Papierkorb.
    3.b) Hat man eine Karte von Anbieter A und bekommt eine Mail, die angeblich von Anbieter B stammt -> Papierkorb.
    3.c) Hat man eine Karte von Anbieter A und bekommt eine Mail, die anscheinend auch von Anbieter A stammt -> mit dem Anbieter z.B. per Anruf abklären, ob Mail, Text und Attachments legitim sind (idealerweise verwendet man z.B. Enigmail, der Anbieter signiert seine Mails digital und man kann so bereits sicherstellen, dass zumindest der Absender legitim sein könnte und klärt dann eventuelle Forderungen ab, die einem spanisch vorkommen).

    4) Punkt 3 gilt analog zu sämtlichen Mails mit Forderungen, ob die nun angeblich von PayPal, Amazon, Banken, Inkassounternehmen oder sonstwem kommen.
    Nebenbei verschickt z.B. kein seriöses Inkassounternehmen Forderungen per Mail, weil die ja im Zweifelsfall Nachweise für Empfang und Empfangsdatum brauchen und deswegen sowas in der Regel per Post und eventuell sogar per Einschreiben schicken.

    5) Wenn einem auch nur irgendwas nicht ganz koscher vorkommt, läßt man die Finger von Attachments und löscht die Mail am besten direkt.

    Mich verblüfft es da jedes Mal wieder und ich kapiere einfach nicht, wieso sich soviele Leute da sorgloser verhalten als Dreijährige im Kindergarten, die darauf vertrauen, dass die Tante eh aufpaßt.
    Bei Haus oder Wohnung käme niemand auf den Gedanken, die Türe offen stehen zu lassen, wenn man weggeht und das Auto wird ebenfalls niemals einfach so mit dem Schlüssel im Zündschloß geparkt – aber im Umgang mit Mails wird eine Sorglosigkeit an den Tag gelegt, die man teilweise nur als grobe Fahrlässigkeit bezeichnen kann.

  15. Ein Bekannter hat eine kleine Firma, da kam eine angebliche Bewerbung per Mail, mit Anhang. Der wurde befallen.
    Klar ist es ein Fehler gewesen, aber im Arbeitsalltag kaum zu vermeiden, wenn man nicht ständig die MA schult darin.
    Ich frage mich, ob da irgendjemand überhaupt zahlt zum Entschlüsseln und ob das dann auch klappt?
    Immerhin wäre das vermutlich die billigste Lösung (1.25 BTC, statt ein paar Tage IT-Beraterkosten)

  16. @francwalter
    Das Problem liegt ja darin, dass du nicht darauf vertrauen kannst, nach Zahlung einen Code zum Entschlüsseln zu bekommen. Also Geld und Daten weg.
    Ab und an soll es wohl Fälle geben, die nach Zahlung einen gültigen Code bekommen haben. Rein logisch im Sinne der Betrüger macht das aber Sinn. Wenn sich rumspricht, dass eine Zahlung gar nichts bringt, zahlt auch keiner mehr.
    Wie viele der Betroffenen letztlich wirklich bezahlen? Keine Ahnung. Sicher nur ein Bruchteil. Aber je mehr Mails die Spammer verschicken, desto höher die Chance, mehr zahlende ‚Kundschaft‘ zu bekommen.

  17. Das hat irgendwie was von Schutzgeld. Da wird die Bude aber normalerweise auch nicht abgefackelt, wenn man zahlt. Wobei das auch unklug wäre, weil man so viel mehr rausholen kann, monatlich z.B. Wobei ich bei den nächsten Zweifel wäre: zahlt man und die Daten werden tatsächlich entschlüsselt, wie lange hat man dann Ruhe? Der Wurm ist ja schon im System, wäre blöd von ihm, freiwillig wieder raus zu gehen.
    Ich würde allenfalls, falls ich da zahlen würde, danach sofort das System runter fahren, alle Daten offline sichern und alles neu aufsetzen.

    Ganz abgesehen davon, dass man, wenn man zahlt, diese Zecken unterstützt und nährt.
    Ich würde (als Privatperson) auf keinen Fall zahlen.

  18. @francwalter In einer KLEINEN Firma setzt man auf Google for Business oder Office 365. Und kommt erst gar nicht auf die Idee, einen lokalen Mailclient einzusetzen. Ich habe bei Google noch nie erlebt, daß mir solche Mails zugestellt werden. Die Landen im Spam-Ordner und werden von den Google-Systemen auch noch als gefährlich markiert.

  19. @francwalter
    Das ist simple Erpressung. Und welcher Kriminelle gibt dir bei Erpressung eine Garantie?
    Ich meine gelesen zu haben, dass je nach Virus ein valider Code diesen tatsächlich deaktiviert. Drauf verlassen würde ich mich aber nicht. Ob es ratsam ist, nach der Deaktivierung Daten zu sichern, weiß ich nicht. Gewöhnlich macht man Backups aber auch un-/regelmäßig (je nach Bedarf) vorher, nicht erst wenn es schon zu spät ist.

  20. Christian says:

    Bei uns in der Firma kam auch mal eine Mail mit der Anlage einer angeblichen Rechnung als*.docm an. Und das in einer Abteilung, wo tagtäglich Rechnungen eingehen. De Kollegin hatte mich dann glücklicherweise angesprochen „weil die Rechnung doch normalerweise als *.pdf verschickt wird“.
    Als ich die Dateiendung *.docm, also Makros gesehen habe, war der nächte Anruf bei der IT. Der ist erstmal kreidebleich angelaufen und hat gleich eine Rundmail rausgschickt…..

    Man soll sich nicht ausmalen, welche Folgen das gehabt hätte.
    Mal ganz ehrlich: Wieviele Leute (und da gehe ich jetzt mal nur von den Lesern hier im Blog aus) kennen explizit die Unterschied zwischen *.docx/docm/dotx/dotm…..

    Und die Nachfrage nach den Makros wird sowieso gleich bestätigt. Immer feste klicken, aber nichts lesen….

    Makros unternehmensintern unterbinden geht auch nicht, dafür brauche wir die leider zu oft….

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.